NIS2 dla ISP: obowiązki i terminy

Dostałeś pismo z UKE? Sprawdź, jakie obowiązki czekają operatorów ISP
13 kwietnia 2026 r. uruchomiono Wykaz podmiotów kluczowych i ważnych. Od tego dnia rozpoczęło się wpisywanie podmiotów do wykazu. Wpisy z urzędu dotyczą wybranych kategorii podmiotów, między innymi przedsiębiorców telekomunikacyjnych. Większość operatorów telekomunikacyjnych otrzymała już pisma od Urzędu Komunikacji Elektronicznej. Nie są one zawiadomieniem o rozpoczęciu procedury. Są informacją, że wpis nastąpił, a operator ma konkretny, ustawowy termin na dopełnienie kolejnego kroku.
Jeżeli takie pismo trafiło już do Twojej firmy, warto dokładnie zrozumieć, co dokładnie z niego wynika. Dotyczy to zarówno terminów, jak i obowiązków, które trzeba zacząć porządkować już teraz.
Co dla Ciebie oznacza pismo z UKE?
Co konkretnie zawiera wezwanie?
Pismo zawiera dwa kluczowe elementy:
- zawiadomienie o dokonaniu z urzędu wpisu firmy do wykazu podmiotów kluczowych i podmiotów ważnych,
- wezwanie do uzupełnienia brakujących danych w systemie S46, w terminie 6 miesięcy od dnia doręczenia wezwania.
To ważne rozróżnienie. Wpis do wykazu nie jest czymś, na co trzeba dopiero czekać. Został dokonany automatycznie, z urzędu. Natomiast sześciomiesięczny termin dotyczy wyłącznie uzupełnienia danych w systemie, a nie całego procesu dostosowania do NIS2.
Czy to oznacza, że już podlegasz pod NIS2?
Tak. Skoro wpis do wykazu został dokonany z urzędu, obowiązki wynikające z ustawy o krajowym systemie cyberbezpieczeństwa dotyczą Twojej organizacji już teraz. Dzieje się tak niezależnie od tego, czy dane w systemie S46 zostały już uzupełnione.
Co ważne, zgodnie z wyjaśnieniami Ministerstwa Cyfryzacji, terminy realizacji poszczególnych obowiązków liczą się od dnia spełnienia ustawowych przesłanek uznania za podmiot kluczowy lub ważny. W praktyce dla większości operatorów jest to 3 kwietnia 2026 r., czyli dzień wejścia w życie znowelizowanej ustawy, a nie dzień wpisu do wykazu czy uzupełnienia danych.
Jakie terminy naprawdę obowiązują
Dla operatora, który spełniał kryteria już 3 kwietnia 2026 r., harmonogram wygląda następująco:
- do 3 października 2026 r. – termin na wpis do wykazu (jeśli nie nastąpił z urzędu) lub na uzupełnienie danych po wezwaniu. W Twoim przypadku 6 miesięcy liczy się od dnia doręczenia pisma;
- do 3 kwietnia 2027 r. – termin na podłączenie do systemu S46 oraz na pierwsze wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI);
- do 3 kwietnia 2028 r. – termin pierwszego audytu bezpieczeństwa dla podmiotów kluczowych (podmioty ważne przeprowadzają audyt na żądanie organu nadzorczego).
Uzupełnienie danych w wykazie jest więc dopiero pierwszym krokiem. Realne wdrożenie zabezpieczeń i dokumentacji ma bowiem swój własny, wcześniej rozpoczęty zegar.
Co powinieneś zrobić teraz?
W pierwszej kolejności warto zalogować się do systemu S46 i sprawdzić, jakich danych brakuje. Następnie zaplanuj ich uzupełnienie z odpowiednim zapasem czasu. Najlepiej nie czekaj więc na ostatni tydzień terminu. Materiały pomocnicze dotyczące systemu i zmian po nowelizacji ustawy są dostępne na stronach gov.pl oraz cyber.gov.pl.
Równolegle warto rozpocząć porządkowanie obszarów merytorycznych. Chodzi tu przede wszystkim o inwentaryzację infrastruktury, ocenę ryzyka i dokumentację bezpieczeństwa – o tym szerzej w dalszej części artykułu.
Dlaczego operatorzy telekomunikacyjni zostali objęci NIS2?
Przedsiębiorcy telekomunikacyjni odpowiadają za infrastrukturę, bez której żaden inny podmiot objęty NIS2 nie jest w stanie funkcjonować. Dotyczy to szpitali, banków, urzędów czy firm energetycznych. Każdy z nich potrzebuje stabilnej sieci, aby zrealizować własne obowiązki związane z ciągłością działania. Ustawodawca zaliczył więc sektor telekomunikacyjny do sektorów objętych regulacją, gdyż stabilność i bezpieczeństwo sieci są elementami bezpieczeństwa całej gospodarki.
Względem poprzedniej dyrektywy zmieniło się przede wszystkim to, że regulacją objęto znacznie więcej podmiotów. Ponadto kwalifikacja odbywa się dziś w dużej mierze automatycznie, z urzędu, a nie na podstawie indywidualnych decyzji administracyjnych.
Co istotne, ustawa o KSC obejmuje wszystkich przedsiębiorców telekomunikacyjnych, niezależnie od wielkości firmy czy przychodów. Duzi i średni przedsiębiorcy są podmiotami kluczowymi, a mali i mikroprzedsiębiorcy – podmiotami ważnymi. Podstawowe obowiązki, takie jak zarządzanie ryzykiem, ochrona sieci czy zgłaszanie incydentów, są dla obu kategorii takie same. Różni się przede wszystkim sposób nadzoru: nad podmiotami kluczowymi organy prowadzą kontrole regularnie, natomiast nad podmiotami ważnymi – głównie po wystąpieniu incydentu lub zgłoszeniu nieprawidłowości.
Jakie obowiązki wynikają z wpisu do wykazu?
Wpis do wykazu podmiotów kluczowych lub ważnych nakłada na przedsiębiorców telekomunikacyjnych konkretny zestaw obowiązków. Poniżej omówiliśmy najważniejsze z nich.
Analiza ryzyka
Operator musi zidentyfikować kluczowe elementy infrastruktury: węzły szkieletowe, systemy routingu, platformy zarządzania siecią, systemy BSS i OSS. Następnie należy określić zagrożenia i potencjalne skutki incydentu dla każdego z nich. To nie jest jednorazowy dokument przygotowany na potrzeby audytu, lecz proces, który trzeba aktualizować po każdej istotnej zmianie w infrastrukturze.
Środki bezpieczeństwa
Do środków, których NIS2 oczekuje w praktyce, należą między innymi uwierzytelnianie wieloskładnikowe dla dostępu administracyjnego oraz segmentacja środowisk zarządzających siecią od środowisk klienckich. Ważne jest też zabezpieczenie routingu, a także bieżące monitorowanie zdarzeń i anomalii w sieci.
Zgłaszanie incydentów
Ustawa wprowadza konkretne terminy raportowania do właściwego CSIRT:
- wstępne zgłoszenie: maksymalnie do 24 godzin od wykrycia incydentu;
- raport uzupełniający: do 72 godzin od momentu powzięcia wiedzy o incydencie;
- raport końcowy: do miesiąca od zakończenia incydentu.
Zegar zaczyna biec od momentu, w którym organizacja dowiaduje się o incydencie, a nie od chwili jego faktycznego wystąpienia. Dlatego bez zdolności do szybkiego wykrywania zagrożeń trudno w ogóle dotrzymać tych terminów.
Ciągłość działania
NIS2 wymaga planów ciągłości działania obejmujących nie tylko awarie techniczne, ale też scenariusze cyberataku . Chodzi na przykład o przejęcia systemu zarządzającego infrastrukturą. Kluczowe jest, czy zmierzyłeś kiedykolwiek w praktyce czas potrzebny na odtworzenie bezpiecznej konfiguracji i wznowienie usług, czy tylko masz to opisane w procedurze.
Bezpieczeństwo dostawców
Operator musi ocenić ryzyko związane z dostawcami sprzętu, oprogramowania i usług ICT – od producentów routerów po dostawców systemów zarządzania siecią. Należy więc sprawdzić, czy w umowach znajdują się zapisy dot. wymagań bezpieczeństwa. Warto również zweryfikować nowe rozwiązania przed wdrożeniem oraz na bieżąco monitorować podatności wykorzystywanego sprzętu.
Dokumentacja
Polityki bezpieczeństwa, procedury reagowania na incydenty, wyniki oceny ryzyka i zasady zarządzania dostawcami muszą być udokumentowane. Dokumentacja powinna mieć formę, którą organizacja jest w stanie przedstawić podczas kontroli. Brak dokumentacji, nawet przy poprawnie działających procesach, jest bowiem jednym z najczęstszych ustaleń audytów zgodności.
Dlaczego nie warto czekać?
Oczekiwanie z formalnościami do ostatniego dnia terminu nie daje dodatkowego czasu na wdrożenie. Zegar na realizację obowiązków merytorycznych biegnie bowiem już od kwietnia 2026 r., niezależnie od tempa uzupełniania danych w wykazie.
Warto też wziąć pod uwagę harmonogram działań, które trzeba wykonać. Wdrożenie procedur bezpieczeństwa – od reagowania na incydenty po zarządzanie dostawcami – trwa realnie tygodnie, a w większych organizacjach nawet miesiące. Uwzględnić warto też to, że proces ten wymaga uzgodnienia działań pomiędzy działem technicznym, zarządem i często zewnętrznymi partnerami. Ponadto rzetelna analiza ryzyka wymaga inwentaryzacji infrastruktury oraz oceny zagrożeń dla każdego kluczowego elementu, co przy rozbudowanej sieci nie jest zadaniem na jedno spotkanie.
Do tego dochodzi czynnik, na który operator nie ma wpływu: w tym samym czasie podobne przygotowania prowadzi wielu innych przedsiębiorców telekomunikacyjnych, którzy otrzymali analogiczne pisma. W rezultacie rośnie obciążenie firm doradczych i audytowych, a wraz z nim wydłuża się czas oczekiwania na wsparcie zewnętrzne w miarę zbliżania się terminów.
Co warto zrobić w najbliższych tygodniach?
- Zaloguj się do systemu S46 i zweryfikuj, jakie dane dotyczące Twojej firmy są tam już zapisane.
- Ustal, jakich informacji brakuje, zaplanuj ich uzupełnienie z zapasem czasu.
- Wybierz zespół, który będzie odpowiadał za koordynację działań związanych z NIS2.
- Przeprowadź inwentaryzację elementów infrastruktury sieciowej i systemów IT.
- Sprawdź, czy masz udokumentowane procedury reagowania na incydenty. Mają to być odrębne od procedur od tych obsługujących zwykłe awarie.
- Zweryfikuj, jak w Twojej organizacji wygląda kwestia dostępu do systemów zarządzania siecią i czy stosujesz uwierzytelnianie wieloskładnikowe.
- Przejrzyj umowy z dostawcami ICT pod kątem zapisów dotyczących bezpieczeństwa.
- Porozmawiaj z członkami zarządu o odpowiedzialności, która jest nakładana przez dyrektywę NIS2.
- Zaplanuj audyt zgodności, który wykryje luki i wskaże od czego warto zacząć działania.
Skonsultuj swoją sytuację z ekspertami ITH
Pismo z UKE jest dobrym sygnałem, żeby uporządkować stan faktyczny. Dotyczy to zarówno danych w systemie S46, jak i realnej gotowości Twojej firmy do wymagań NIS2. ITH wspiera operatorów telekomunikacyjnych na każdym etapie tego procesu: od audytu i przygotowania dokumentacji, przez wdrożenie NIS2 krok po kroku, po szkolenia z cyberbezpieczeństwa dla zespołów i zarządu.
Wsparcie ITH obejmuje zarówno warstwę technologiczną, jak i budowę Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). W ramach warstwy technologicznej mieści się konfiguracja i zabezpieczenie infrastruktury sieciowej, systemów zarządzania dostępem czy monitoringu zagrożeń. Z kolei SZBI to kompleksowy zestaw procedur, polityk bezpieczeństwa, programów szkoleniowych i zabezpieczeń technicznych, który spina wymagania NIS2 w jeden spójny, zarządzalny system, a nie zbiór luźnych dokumentów przygotowanych na potrzeby jednego audytu.
Dzięki połączeniu obu tych obszarów operator nie musi samodzielnie łączyć kompetencji technicznych, organizacyjnych i formalnych. Zespół ITH prowadzi organizację przez cały proces: od pierwszej analizy luk, przez wdrożenie zabezpieczeń i dokumentacji, po bieżące utrzymanie zgodności.
Jeśli chcesz sprawdzić, jak wygląda gotowość Twojej firmy, zapoznaj się z ofertą ITH dla operatorów ISP lub umów krótką rozmowę z naszym zespołem.













